Klausul 8.4 i ISO 9001 är den del av standarden som ofta orsakar flest avvikelser vid extern revision. Den reglerar hur ni styr era externa leverantörer — och kraven är tydligare än många tror.
Den här guiden går igenom vad klausulen faktiskt kräver, hur ni bygger en process som håller vid revision, och de vanligaste fallgroparna att undvika.
Vad säger klausul 8.4 om externa leverantörer?
Klausul 8.4 ("Styrning av externt tillhandahållna processer, produkter och tjänster") är uppdelad i tre delar. Tillsammans kräver de att ni ska ha kontroll på allt som kommer utifrån och påverkar er slutleverans.
8.4.1 — Generella krav
Det är här grundlogiken finns. Standarden kräver fyra obligatoriska aktiviteter: utvärdering, urval, prestandaövervakning och omvärdering. Ni ska ha dokumenterade kriterier för varje del och bevara dokumentationen.
Klausulen gäller i tre situationer:
- När leverantörens produkter eller tjänster ingår i er egen slutprodukt.
- När leverantören levererar direkt till er kund för er räkning.
- När en process har outsourcats (t.ex. löneadministration eller IT-drift).
8.4.2 — Typ och omfattning av styrning
Det är här riskbaserat tänkande kommer in. Standarden kräver uttryckligen att styrningen ska stå i proportion till leverantörens potentiella påverkan på er förmåga att leverera enligt kundkrav.
En kritisk komponentleverantör kräver mer omfattande kontroll än en kontorsmateriel-leverantör. Ni måste också definiera både styrningen av leverantören och styrningen av resultatet (t.ex. mottagningskontroll).
8.4.3 — Information till externa leverantörer
Den minst kända men ofta missade delen. Innan avtal eller inköpsorder skickas måste ni kommunicera kraven tydligt — inklusive specifikationer, godkännandeprocesser, kompetenskrav och er rätt att verifiera leverantörens prestanda.
Vilka leverantörer omfattas?
Standarden använder begreppet "extern leverantör" — bredare än bara inköp. Det inkluderar produktleverantörer, tjänsteleverantörer, underleverantörer och outsourcade processer.
En vanlig missuppfattning är att 8.4 bara handlar om fysiska produkter. I praktiken täcker klausulen också IT-drift, kalibrering, externa konsulter och koncerninterna bolag som ligger utanför ert ledningssystems omfång.
Ett viktigt undantag: ni behåller fullt ansvar för outsourcade processer även när någon annan utför dem. Den vanliga missuppfattningen att "ansvaret överförs när vi outsourcar" är fel — och en av de saker revisorer letar efter.
Hur genomför man en bedömning som uppfyller klausulen?
I praktiken bygger ni processen i fem steg.
1. Riskklassificera leverantörskategorierna. Definiera vad som gör en leverantör kritisk — påverkan på slutprodukt, ersättbarhet, regulatorisk risk eller spend. Utan denna definition blir riskbaserat tänkande godtyckligt.
2. Inledande leverantörsgodkännande. Samla in information via självskattningsformulär, certifikatkontroll och eventuellt platsbesök. Använd mätbara kriterier, inte vaga formuleringar som "tillförlitlig".
3. Beslut och godkänd leverantörsförteckning (AVL). Inköpschef eller kvalitetsansvarig fattar dokumenterat beslut. Leverantören förs in i registret med status, giltighetstid och eventuella villkor.
4. Löpande prestandauppföljning. Mät faktisk prestanda kvartalsvis: leveransprecision (OTD, ofta ≥95 %), kvalitetsutfall (PPM), reklamationer och svarstid på avvikelser.
5. Periodisk omvärdering. Formellt dokumenterat beslut baserat på prestandadata. Återkoppla till leverantören via scorecard och initiera åtgärdsplan vid behov.
De fem vanligaste revisionsavvikelserna
Internationella audit-organ rapporterar samma mönster år efter år. Här är det revisorer oftast skriver upp på klausul 8.4:
- Inaktuell eller obefintlig leverantörsförteckning. Leverantörer används utan dokumenterad utvärdering, eller AVL:n har inte uppdaterats efter prestandaförändringar.
- Vaga utvärderingskriterier. "Leverantören känns pålitlig" räcker inte. Kriterierna måste vara mätbara KPI:er.
- Ingen omvärdering. Företag utvärderar bara vid onboarding och missar den löpande omprövningen — vilket nästan alltid ger avvikelse vid övervakningsrevision.
- Bristfällig kommunikation av krav (8.4.3). Specifikationer, kompetenskrav och rätten att granska saknas på inköpsorder eller avtal.
- Övervakning utan koppling till risk. Alla leverantörer behandlas lika — eller, vanligare, kritiska leverantörer glöms i den löpande uppföljningen.
Den underliggande rotorsaken är ofta att leverantörsbedömning ägs av flera funktioner (inköp, kvalitet, produktion) utan en tydlig processägare. Excel-baserade register som divergerar mellan avdelningarna är en typisk följd.
Kopplingen till NIS2, CRA och andra ramverk
Klausul 8.4 är inte unik för ISO 9001. Logiken — riskbaserad leverantörskontroll med dokumenterad uppföljning — återkommer i NIS2-direktivet, CRA (Cyber Resilience Act), DORA för finanssektorn och ISO 27001 A.5.19–A.5.23 för leverantörsrelationer.
Det betyder att ni kan bygga en gemensam leverantörsprocess som samtidigt uppfyller flera ramverk. Många organisationer har idag separata register för kvalitet, säkerhet och hållbarhet — vilket är både ineffektivt och en revisionsrisk i sig.
Dokumentation revisorn vill se
Vid extern revision granskas vanligen följande:
- Procedur eller rutin för leverantörsbedömning (vem, hur, när).
- Aktuell godkänd leverantörsförteckning med status och datum.
- Ifyllda självskattningsformulär från leverantörerna.
- Bedömningsmallar med dokumenterad poängsättning.
- Scorecards och KPI-rapporter per leverantör.
- Avvikelserapporter kopplade till specifika leverantörer.
- Beslutsprotokoll vid godkännande, omvärdering eller avveckling.
Revisorn väljer oftast en aktuell inköpsorder och följer den bakåt — till leverantörsgodkännandet — och framåt — till mottagningskontroll. Saknas spårbarheten någonstans i kedjan skrivs en avvikelse.
Sammanfattning
Klausul 8.4 handlar inte om att utvärdera alla leverantörer lika noga. Den handlar om att ha dokumenterade, riskbaserade kriterier för utvärdering, urval, övervakning och omvärdering — och kunna visa spårbarheten vid revision.
Det är ett område där rätt verktyg gör stor skillnad. Ett strukturerat leverantörsregister med inbyggda bedömningsflöden och historik tar bort de vanligaste fallgroparna: divergerande Excel-filer, glömda omvärderingar och saknade revisionsspår.
Vanliga frågor
Vad kräver klausul 8.4 i ISO 9001?
Klausul 8.4 kräver att ni bedömer, väljer, övervakar och omvärderar leverantörer som påverkar er förmåga att leverera enligt kundkrav. Ni måste ha dokumenterade kriterier, riskbaserad styrning och spårbar uppföljning.
Hur ofta ska leverantörsbedömning genomföras enligt ISO 9001?
Standarden anger inte fasta intervall, men best practice är årligen för kritiska leverantörer, vartannat år för mellanrisk och vart tredje år för lågriskleverantörer. Trigger-baserad omvärdering ska alltid ske vid ägarbyte, allvarliga avvikelser eller ny lagstiftning.
Vad är skillnaden mellan 8.4.1, 8.4.2 och 8.4.3?
8.4.1 är de generella kraven på utvärdering och urval. 8.4.2 handlar om hur omfattande styrning ni ska tillämpa baserat på risk. 8.4.3 reglerar vilken information som måste kommuniceras till leverantören innan avtal.
Måste alla leverantörer bedömas lika omfattande?
Nej. 8.4.2 kräver tvärtom att styrningen ska stå i proportion till leverantörens påverkan på er förmåga att möta kundkrav. En kritisk komponentleverantör behöver mer omfattande kontroll än en kontorsmateriel-leverantör.
Hur dokumenterar man leverantörsbedömning för revision?
Spara dokumenterade kriterier, ifyllda bedömningsmallar, scorecards, beslutsprotokoll och åtgärdsplaner. Revisorn vill se en röd tråd från inköpsorder till leverantörsgodkännande och löpande uppföljning.
